Parolju Glabaashana Ieksh Mysql

[Sliipeetais]

Ar kaadaam metodeem sashifreet paroles, kuras tiek glabaatas MySQL datu baazee? (Droshiibas pasaakums situaacijai, ja kaadam ljaunajam urkjim izdodas tikt klaat DB, kuraa glabaajas visas lietotaaju paroles...).

 

P.S.

Kaa lai es savu php foruma pieregjistreeto vaardu "sliipeetais" nomainu uz "Sliipeetais"?

[Roze]

No php puses var izmantot piemeeram Md5() http://lv.php.net/md5 vai arii no MySQL PASSWORD() http://www.mysql.com/doc/en/Password_hashing.html

 

Vairaak gan ieteiktu pirmo variantu jo mysql funkcija piemeeram atskjiras starp dazhaam versijaam liidz ar to veelaak vareetu rasties probleemas.. MD5 algoritms preteeji tik aatri nemainiisies

 

 

Loginvaardu nomainiiju (tev vajadzeetu buut notifikaacijas e-pastam)

[roberc]

nu par to md5 es gan šaubos.

man liekas, ka md5 hasho paroles. un ar jebkuru tāda tipa f-ju paroles netiek šifrētas. tiek atgriezts tikai x-bitu hash-keys. nu to it kā var saglabāt un pārbaudīt ievadītās paroles hashu ar saglabāto hashu. bet pašu paroli dabūt atpakaļ nevar :(

 

es gan nenodarbotos ar paroļu kriptu. labāk ir nosekūrēt serveri tā, lai neviens netiek klāt bāzēm. pie tam nevienu nopietnu projektu, kurā ir iemaisītas paroles, neviens neliek virsū uz koplietošanas serveriem...

 

kaut gan tā ir katra webmastera darīšana.

[K|NG]

vai nu ar md5 vai ja ir sha1.

ja paroli aizmirst tad sūti jaunu uzģenerētu

[RuncZ]

a kas vainas f-jai crypt() ? es te vienaa savaa *garadarbaa* jamo izmantoju... nu darbojas tiiri ok

[Sliipeetais]

Iisti neiebraucu, tikai sapratu to, ka md5 ir kaut kas, kas it kaa padara paroli nesaprotamu, tachu negarantee, ka taa ir tieshaam sashifreeta.

Mazliet pabrowseeju un nonaacu pie sleedziena, ka jaalieto crypt, ar attieciigo shifreeshanas metodi, kas jau ir peec izveeles (rc4, blowfish u.t.t.)...

[Qued]

Ja tev nebūtu slinkums palasīt php manuāli un tajā pievienotās saites, tu saprast gan, ko tas md5 dara.

[Sliipeetais]

ahaa, palasiijos manuaaljus. md5 - taatad, sajauc mainiigo radot mixfix simbolu virkni. nav atkodeejams, liidz ar to paroli var izvilkt tikai ar brute force (normaali, ja parole ir garaaka par 6 simb. buus paaraak ietilpiigs darbs). Atkodeejams nav, tachu saliidzinaams ar kaadu citu mainiigo gan.

 

Taatad lietojams ;)

[Roze]

nu par to md5 es gan šaubos.

man liekas, ka md5 hasho paroles. un ar jebkuru tāda tipa f-ju paroles netiek šifrētas. tiek atgriezts tikai x-bitu hash-keys. nu to it kā var saglabāt un pārbaudīt ievadītās paroles hashu ar saglabāto hashu. bet pašu paroli dabūt atpakaļ nevar

 

es gan nenodarbotos ar paroļu kriptu. labāk ir nosekūrēt serveri tā, lai neviens netiek klāt bāzēm. pie tam nevienu nopietnu projektu, kurā ir iemaisītas paroles, neviens neliek virsū uz koplietošanas serveriem...

 

kaut gan tā ir katra webmastera darīšana.

Nu a prieksh kam dabuut atpakalj saglabaato paroli? Oneway imho ir krietni efektivaaks. Ja reiz lietotaajs ir aizmirsis paroli gjenereejam vinjam jaunu un izsuutam nevis taisam kaut kaadus decrypt.

 

Kaa sho te saprast "nopietnu projektu .. uz koplietoshanas serveriem"?

Kas ir nopietni projekti tavupraat un kas ir koplietoshanas serveri? Free hostinga piedavataaji vai kaa?

 

Nopietniem projektiem ir arii nopietni droshiibas risinaajumi. Paarsvaraa DB serveri no publiskaa tiikla nav pieejami vispaar. Konekcijas starp lietojum/webserveri izmanto piemeeram SSL vai arii piemeeram kripteetus tuneljus alja IPSEC. Jo preteeji jau tas viss ir kakjim zem astes ja paroles ir kripteetas a viens ieseezhas pa vidu un saak snifot packetes un http requestus.

 

Tachu arii nenopietnaam lietaam ir veerts ieveerot zinaamus droshiibas pasaakumus kaut vai deelj cilveekiem kas taas lietos. Proti peec pieredzes (un arii pats skatoties uz sevi) cilveeki parolju izdomaa nav visai orgjinaali un izmantotaas paroles der arii citur (e-pastiem, darbstaciju loginiem utt)..

 

Pie kam nostaadne par kastes "sekuureeshanu" ir pareiza lai gan principaa parolju/datu kripteeshanas jeega ir tajaa ja arii kaads pie datubaazeem tiek tad no datiem nav iisti jeegas (ja nu kaadam ir veelme nodarboties ar bruteforce).